ECLI:BE:GBAPD:2021:DEC.20210422.1

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 22 avril 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20210422.1

No Rôle:

55/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-29

Consultations:

61 – dernière vue 2026-04-14 17:42

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération de : – prononcer à l'encontre de
la défenderesse une réprimande sur la base de l'article 100.1,
5° LCA, pour violations des articles 13.1.a et b), ainsi que des articles
25.1 et 25.2 du RGPD; – classer sans suite la plainte pour les autres
aspects sur la base de l'article 100.1, 1° LCA.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Plainte contre une institution publique pour refus d'effacement et
atteinte au principe de confidentialité dans le cadre du traitement d'un
dossier. (DOS-2019-05270)

Bases légales:

Loi – 03-12-2017 – 100,1,1° – 11
Lien ELI No pub 2017031916
Loi – 03-12-2017 – 100,1,1° – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 55/2021 du 22 avril 2021
N° de dossier : DOS-2019-05270
Objet : Plainte contre une institution publique pour refus d’effacement et atteinte au principe de confidentialité dans le cadre du traitement d’un dossier
La Chambre Contentieuse de l’Autorité de protection des données (ci-après APD), constituée de Monsieur Hielke Hijmans, président, et de Messieurs Ch. Boeraeve et Y. Poullet, membres.
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données), ci-après RGPD;
Vu la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci-après LCA);
Vu le règlement d’ordre intérieur de l’Autorité de protection des données tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
– Le plaignant : Monsieur X,
– Le responsable de traitement (défenderesse) : Y (Y1), , ayant pour conseils Maîtres Marc Uyttendaele ([email protected]) et Patricia Minsier ([email protected]).
I. Faits et rétroactes
1) Antécédents
1. Le plaignant introduit une plainte auprès de l’APD à propos d’une demande d’effacement de données personnelles traitées par le Y1 (ci-après Y1). Dans sa plainte, il indique solliciter l’effacement de ses données ainsi que de celles de son fils. Le plaignant a envoyé, par l’entremise de son avocat, deux lettres dans un délai de trois mois, sans que celles-ci n’aient mené à une réponse.
2. Il ressort des pièces du dossier que le plaignant et Madame Z (ci-après : la mère de l’enfant) étaient en instance de divorce au moment des faits. Ils ont participé à un programme d’aide du Y1 concernant leur fils, pour lequel une aide spécialisée semblait nécessaire. Le premier programme d’aide était daté du 18 septembre 2017 et valable pour une durée d’un an (ci-après, le premier programme d’aide). Selon la défenderesse, il aurait été suivi d’un second programme d’aide qui se serait conclu en février 2019 (ci-après, le second programme d’aide).
L’existence de ce second programme d’aide est contestée par le plaignant.
3. Lors d’une communication par courriel entre la mère de l’enfant et une déléguée du Y1, la mère de l’enfant demande à la déléguée si elle a pu s’entretenir avec le père de l’enfant (c’est-à-dire le plaignant), ou avec le professeur de l’enfant. La mère déclare s’inquiéter de la situation de son fils qui deviendrait de plus en agité et agressif (courriel du 9 janvier 2019).
4. Le 10 janvier 2019, la déléguée du Y1 répond à ce courriel en écrivant notamment le paragraphe reproduit ci-dessous :
« J’ai pu m’entretenir avec Monsieur X avant les vacances comme il était convenu. Lorsque je confronte Monsieur aux difficultés qu’il semblerait rencontrer avec son fils à la maison, Monsieur nie et dit que tout va bien. Il contredit tout ce que vous avez pu me dire ou observer et minimise les conséquences que les films d’action trop violents pourraient avoir sur son fils. »
5. Le 9 mai 2019, le plaignant envoie un courriel au Secrétariat de la Commission de déontologie1 (ci-après : la Commission). Le 14 juin 2019, l’avocat du plaignant envoie une lettre à la Commission, dans laquelle il se plaint du fait que la mère de l’enfant aurait utilisé des informations confidentielles du Y1 dans la procédure civile qui les oppose devant le tribunal de la famille. Le plaignant identifie ces informations comme étant « des informations confidentielles et des rapports émis par votre service ». Il estime qu’il s’agit d’une infraction au Code de déontologie, en conséquence de laquelle il déclare vouloir mettre fin à l’intervention du Y1 Cette lettre fait suite à un premier courriel qui aurait été envoyé le 9 mai 2019, mais qui n’a pas été ajouté au dossier.
Il demande également que le dossier contenant ses données personnelles et celles de son fils soit effacé en vertu de l’article 17 du RGPD.
6. Le 5 juillet 2019, la Commission de déontologie répond à ce courrier par courriel. Elle y déclare en essence que la pratique dénoncée n’est pas le fait d’un collaborateur du Y1, mais bien de la partie adverse (la mère de l’enfant) dans la procédure civile. La Commission ne s’estime pas compétente pour donner un avis sur ce sujet et décide de clôturer l’examen de la demande. Elle ajoute n’être pas compétente pour examiner une demande d’effacement de données personnelles contenues dans des dossiers en cours 2.
7. En réponse, le plaignant envoie un second courrier daté du 22 juillet 2019 dans lequel il précise que c’est bien la manière dont le Y1 aurait transmis des informations confidentielles à la mère de l’enfant qui est en cause. Il fait spécifiquement référence au contenu de l’email du 10 janvier 2019 (voir point 4) et au texte de l’accord relatif au premier programme d’aide, daté du 18 septembre 2017 (voir point 2). Il réitère son intention de mettre fin à l’intervention du Y1 et sollicite une réponse à sa demande d’effacement.
2) Procédure devant la Chambre contentieuse
8. Le 8 octobre 2019, le plaignant introduit sa plainte auprès de l’APD. Celle-ci porte sur la demande d’effacement. La plainte est déclarée recevable par le Service de première ligne le 29 octobre 2019 et transmise à la Chambre contentieuse.
9. Le 3 décembre 2019, la Chambre contentieuse décide de traiter le dossier sur le fond. Cette décision est communiquée aux parties le même jour par courrier recommandé. La partie défenderesse est identifiée comme étant l’Administration générale de Y1. Il est également demandé au plaignant de fournir l’email de la Commission de déontologie du 5 juillet 2019 qui n’avait jusqu’alors pas été porté à la connaissance de la Chambre contentieuse.
10. Le 16 décembre 2019, le plaignant envoie l’email demandé à la Chambre contentieuse et sollicite une copie des pièces du dossier ainsi que confirmation du calendrier d’échange de conclusions. La Chambre contentieuse répond aux demandes du plaignant le 17 décembre 2019.
11. Le 31 décembre 2019, les conseils de la partie défenderesse, identifiée par eux comme étant Y, demandent une copie des pièces du dossier. Celle-ci est envoyée par la Chambre contentieuse le 7 janvier 2020. Les conseils de la partie défenderesse font parvenir leurs conclusions le 14 janvier 2020.
12. Ils y indiquent tout d’abord que l’absence de réponse à la demande d’effacement du plaignant s’explique par le fait que celle-ci était adressée à la Commission de déontologie, une instance indépendante, traitant exclusivement de questions de déontologie en cette matière. Ils ajoutent que la Commission de déontologie accuse un retard important dans le traitement des demandes, ce qui explique qu’elle n’ait pas encore rendu d’avis sur la question déontologique contenue dans la demande du plaignant.
13. Ensuite, la défenderesse, considère qu’elle ne peut pas faire droit à la demande d’effacement du plaignant, étant donné que le traitement est nécessaire pour respecter une obligation légale ou pour exécuter une mission d’intérêt public (article 17.3 du RGPD). Effacer ces données empêcherait la défenderesse d’exercer ses missions légales, qui se poursuivent même après la fermeture du dossier.
14. Par ailleurs, la partie défenderesse ajoute que le plaignant ne dispose pas seul de l’autorité parentale sur son fils, et que la demande devrait donc en principe émaner des deux parents, qui disposent ensemble de l’autorité parentale. Elle ajoute que le traitement des données contenues dans le dossier est également nécessaire d’un point de vue comptable. Ces données sont en effet utilisées comme justificatif de paiement de certains frais ( in casu, des frais d’interprétariat) dont la conservation est nécessaire dans le cadre du contrôle financier exercé, notamment, par la Cour des comptes.
15. La partie défenderesse expose également une nouvelle politique qu’elle a mis en place afin de rendre ses pratiques conformes au RGPD.
16. Finalement, elle exprime à titre subsidiaire ses arguments concernant une possible sanction et la proportionnalité de celle-ci.
17. Il ressort également des conclusions de la défenderesse qu’elle a adressé un courrier à la Commission de déontologie le 23 décembre 2019, en lui demandant de statuer en urgence sur la plainte. La réponse de la Commission de déontologie datée du 8 janvier est annexée aux conclusions. Elle y indique en substance ne pas être compétente pour les questions relatives à la demande d’effacement et avoir informé les avocats du plaignant de ceci par email le 5 juillet 2019. Elle ajoute que les aspects déontologiques de la plainte seront à l’ordre du jour de la réunion du 15 janvier 2020.
18. Le 15 janvier 2020, la Commission de déontologie rend un avis sur la demande du plaignant3.
Elle déclare ne pas être compétente pour ce qui concerne la demande d’effacement ou l’utilisation par une des parties d’une pièce du dossier du Y1 dans une procédure distincte de celle dont relève le dossier. La Commission de déontologie relève cependant deux manquements déontologiques dans le chef de la déléguée du Y1 dans la manière dont les informations concernant le plaignant (contenues dans le mail du 10 janvier) ont été transmises à la mère de l’enfant.
19. Dans ses conclusions en réplique envoyées le 28 janvier 2020, le plaignant invoque pour la première fois une série d’autres violations du RGPD (articles 5.1.a, 5.1.f, 5.2, 6.1.a, 6.1.f, 12, 13, 17 et 25). Il pose notamment la question de la base de licéité de ce traitement, de la sécurisation des données, de l’information et de la transparence du traitement, du non-respect du délai d’un mois pour la réponse à sa demande et le manque de précautions dans le traitement des données.
20. Le 11 février 2020, la partie défenderesse envoie ses conclusions de synthèse. Au-delà des éléments déjà invoqués dans ses conclusions, elle se défend d’une violation des articles 5 et 6 et 17. Elle détaille notamment la règlementation en matière de programme d’aides. Elle concède par ailleurs qu’elle n’a pas correctement informé le plaignant quant à l’identité du responsable de traitement et du délégué à la protection des données. La partie défenderesse détaille également les mesures qui sont en cours pour améliorer sa conformité au RGPD.
21. Par la suite, le plaignant sollicite à plusieurs reprises une audition auprès de la Chambre contentieuse. Il souhaite présenter des nouveaux documents à l’audition ou par courrier électronique. La Chambre contentieuse lui répond que son dossier est en cours de traitement.
22. Une audition est organisée le 14 décembre 2020 à laquelle les deux parties sont invitées. Elles sont informées du fait qu’elles peuvent présenter des nouveaux documents jusqu’au 7 décembre 2020.
23. Le 7 décembre 2020, la plaignant fait parvenir un nouveau document à la Chambre contentieuse, ainsi qu’à la défenderesse. Il s’agit d’extraits de conclusions de synthèses présentées par la mère de l’enfant au tribunal de la famille le 18 mars 2019 dans une procédure qui l’opposait au plaignant. Les extraits présentés, sont largement censurés et surlignés par le plaignant. Y apparaissent plusieurs références au Y1 ainsi qu’aux constats ou remarques que celui-ci aurait effectués.
24. Le plaignant demande également à pouvoir s’exprimer en anglais lors de l’audition. Cette demande est refusée par la partie adverse étant donné que plusieurs de ces représentants ne maîtrisent pas cette langue.
25. L’audition à lieu le 14 décembre en présence des deux parties. Le plaignant s’exprime en anglais. Un interprète traduit vers le français.
3) L’audition
26. Lors de l’audition, hormis les arguments déjà avancés par les parties dans leurs conclusions, plusieurs éléments ont été portés à l’attention de la Chambre contentieuse. Ceux-ci sont résumés ci-dessous :
– Les deux parties coïncident sur le fait que l’utilisation des données provenant du dossier du Y1 par la mère de l’enfant dans la procédure devant le tribunal de la famille constitue une violation de l’obligation de confidentialité.
– Un premier accord sur le programme d’aide a bien été signé entre le plaignant, la mère de l’enfant, et le Y1 en septembre 2017. Cet accord s’est clôturé en septembre 2018.
– Selon la partie défenderesse, un second accord à par la suite été conclu jusqu’en février 2019.
Ceci est contesté par le plaignant qui indique que cet accord n’a jamais été conclu et que la défenderesse ne peut apporter de preuve de l’existence de cet accord. Selon le plaignant, l’intervention du Y1 aurait dû dès lors prendre fin en septembre 2018.
– Selon la partie défenderesse, la consultation du dossier a été effectuée par la mère de l’enfant.
Pour le plaignant, il s’agit en réalité de l’avocat de celle-ci.
– Le partie défenderesse explique les mesures mises-en-œuvre pour garantir la confidentialité des informations du dossier. Chaque feuille du dossier reprend la législation en vigueur sur la confidentialité. Les personnes qui consultent le dossier sont accompagnées d’un délégué du Y1. Ces informations ne se trouvaient cependant pas sur le courriel du 10 janvier 2019, alors que cela devait normalement être le cas. Cette règle a depuis lors été rappelée au personnel du Y1.
– L’avocate de la partie défenderesse estime qu’il y a éventuellement un problème de déontologie dans l’envoi de l’email. Il aurait peut-être dû être mieux circonstancié et faire un rappel de l’obligation de confidentialité. Il s’agit donc d’un problème de déontologie dans la communication, mais pas d’un problème vis-à-vis du RGPD. La déléguée à la protection des données parle d’un « couac » et estime qu’il y avait des petits défauts dans le mode de fonctionnement du Y1, mais que ces défauts ont été corrigée depuis. Elle ajoute que des grandes mesures ont été mises en place pour améliorer le respect du RGPD et que ce travail se poursuit, notamment sur base des problèmes qui apparaissent.
– Eu égard à la demande du plaignant, la défenderesse a classé le dossier sans suite après avoir rencontrée le plaignant et la mère de l’enfant février 20194.
EN DROIT
II. Sur les motifs de la décision
1) Quant au traitement des données personnelles litigieux et aux violations alléguées.
27. La plainte introduite auprès de l’Autorité de protection des données ne porte que sur la demande d’effacement. Cependant, lors des échanges de conclusions entre les parties, le plaignant a soulevé des possibles violations des articles 5.1.a, 5.1.f, 5.2, 6.1.a, 6.1.f, 12, 13, 17 et 25 du RGPD. La partie défenderesse a eu l’opportunité de se défendre vis-à-vis de ces allégations. Certaines de ses violations ont également été débattues lors de l’audition.
28. Selon les termes de la plainte, la demande d’effacement porte sur toutes les données personnelles du plaignant, ainsi que de celles de son fils, qui sont contenues dans les bases de données et autres archives du Y1. La Chambre contentieuse estime que les données sur lesquelles portent la plainte et la demande d’effacement sont clairement identifiées.
29. En ce qui concerne les traitements de données dont la légalité a été remise en question par le plaignant lors des échanges de conclusions, ceux-ci portent sur les données contenues dans le dossier du Y1 qui concerne le plaignant, son fils ainsi que la mère de l’enfant. Sur base des pièces du dossier, la Chambre contentieuse considère que ce dossier contient notamment le texte de l’accord relatif au premier programme d’aide du 18 septembre 2017 ; le courriel du 10 janvier 2019 ; et d’autres informations provenant du Y1 mentionnées dans les extraits de conclusions de la mère de l’enfant du 18 mars 2019 devant le tribunal de la famille. Il s’agit des documents qui ont été portés à la connaissance de la Chambre contentieuse, dont l’existence est prouvée et dont le traitement est contesté sur base de griefs spécifiques.
30. Pour ce qui concerne le premier programme d’aide, la Chambre contentieuse note que son existence est reconnue par les deux parties. Le document indique que « cet accord recueille l’approbation de toutes les personnes concernées et est établi entre Madame Z, Monsieur X et la Conseillère ». La copie du document, fournie à la Chambre contentieuse, est signée par une Conseillère. Des emplacements sont prévus pour la signature de la mère de l’enfant et le plaignant. Une copie de ce document avait été fournie par le plaignant à l’APD lors du dépôt de sa plainte. Ce premier programme d’aide à pris cours le 15 septembre 2017 et s’est achevé au plus tard le 15 septembre 2018.
31. La Chambre contentieuse note que l’argument tenant à l’existence d’un second programme d’aide clôturé en février 2019 est avancé par la défenderesse, mais contesté par le plaignant.
En l’absence de pièce confirmant l’existence et la signature de ce second programme d’aide, la Chambre contentieuse considère que son existence n’est pas prouvée.
32. La Chambre contentieuse constate une certaine confusion lors de l’audition quant à la période durant laquelle la défenderesse aurait poursuivi sa mission après la finalisation du premier programme d’aide. En effet, à cette occasion, le plaignant a indiqué à plusieurs reprises que le traitement de ses données se serait poursuivi pendant un an et demi après la fin de l’intervention de la défenderesse. Or, le plaignant reconnaît bien l’existence du premier programme d’aide qui était en vigueur du 15 septembre 2017 au 15 septembre 2018. Les activités de la défenderesse qui sont dénoncées par le plaignant (notamment la rencontre à laquelle il a participé et le contact avec la mère de l’enfant par email) ont donc eu lieu quatre mois au plus après la clôture du premier programme d’aide et non pas un an et demi.
33. Comme elle a eu l’occasion de l’indiquer dans le passé, notamment dans sa décision 3/2020 du 21 février 2020, la Chambre contentieuse rappelle que la communication de données à caractère personnel par voie orale ne constitue pas un traitement de données au sens de l’article 4.2 du RGPD5. L’éventuelle transmission d’informations par cette voie ne peut donc être examinée par la Chambre.
34. Par ailleurs, le traitement ultérieur de ses données par la mère de l’enfant ( in casu, la réutilisation des données du dossier pour les intégrer dans ses conclusions au tribunal de la famille) ne sera pas examinée par la Chambre contentieuse. En effet, le plaignant n’a pas dirigé sa plainte à l’encontre de la mère de l’enfant, mais bien à l’encontre d Y1. La mère de l’enfant n’est pas donc pas partie au dossier. La Chambre contentieuse ne peut par conséquent pas se prononcer sur ce point, même si elle constate que les deux parties s’accordent pour dire que l’utilisation de ces données par la mère de l’enfant dans ses conclusions devant le tribunal de la famille est contraire à l’obligation de confidentialité à laquelle les pièces du dossier sont soumises.
35. La Chambre contentieuse examinera dans un premier temps la légalité du traitement de données. Elle se penchera tout d’abord sur la licéité du traitement (section 2). Ensuite elle analysera la question du devoir d’information et de transparence et du transfert aux tiers (section 3). Enfin, elle étudiera la question de la sécurité et de la confidentialité du traitement (section 4).
Dans un second temps, elle examinera la demande d’effacement du plaignant (section 5).
2) La licéité du traitement
36. En ce qui concerne la base de licéité du traitement, le plaignant invoque une violation des articles 6.1.a) et 6.1.f) et un défaut de consentement. La partie défenderesse justifie de la licéité du traitement sur base des articles 6.1.b), c) et e). L’article 6 est partiellement reproduit ci-dessous :
« Article 6
Licéité du traitement
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:
a) le droit de l’Union; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. »
37. Comme elle l’a déjà fait dans d’autres décisions, la Chambre Contentieuse rappelle tout d’abord qu’il incombe au responsable de traitement d’identifier une unique base de licéité sur laquelle il fonde son traitement. Cette exigence d’une base de licéité est un des trois grands principes – avec ceux de loyauté et de transparence – qu’il lui incombe de mettre en œuvre (article 5.1.a) du RGPD – explicité au considérant 39 du RGPD). Des conséquences différentes découlant de l’une ou l’autre base de licéité, notamment en termes de droits pour les personnes concernées, il n’est pas admis que le responsable de traitement invoque l’une ou l’autre au gré des circonstances.6
38. Pour la Chambre contentieuse, il est évident qu’une institution publique qui, dans le cadre de sa mission légale, intervient à la demande des parties ou d’un juge, dans des situations familiales dans le but d’apporter une aide spécialisée exerce une mission d’intérêt public. La constitution d’un dossier contenant des informations personnelles sur les parties impliquées (les parents et l’enfant) constitue un traitement de données en lien direct avec cette mission d’intérêt public. La partie défenderesse argumente donc à juste titre que le traitement peut se baser sur l’article 6.1.e) du RGPD. Le consentement du plaignant n’est donc pas requis pour que ce traitement soit licite, d’autant plus que cette base de licéité n’est pas revendiquée par la partie défenderesse.
39. En ce qui concerne la base de licéité de l’article 6.1.b, la partie défenderesse n’explicite pas le contrat auquel elle fait référence qui justifierait le traitement litigieux. La Chambre contentieuse peut envisager que le contrat visé soit le premier programme d’aide signé entre les parents de l’enfant et la défenderesse. Elle renvoie cependant aux développements aux points 30 et 31 de la présente décision, qui démontrent que le traitement s’est poursuivi après l’expiration du premier programme. La base de licéité de l’article 6.1.b n’est donc pas applicable en l’espèce.
40. Pour celle de l’article 6.1.c, la partie défenderesse n’explicite par l’obligation légale à laquelle elle serait tenue et de laquelle découlerait le traitement en question. La Chambre contentieuse ne peut donc l’examiner plus en détails.
41. Partant des éléments ci-dessus, il apparaît que le traitement de données litigieux est fondé sur la base de licéité prévue à l’article 6.1.e). Toutefois, il est nécessaire de vérifier que les conditions prévues par cet article sont bien remplies en l’espèce. En vertu de l’article 6.3.b) et du considérant 45 du RGPD, un traitement fondé sur l’article 6.1.e) doit remplir deux conditions :
– Le responsable de traitement doit être investi de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique en vertu d’une base légale, que ce soit en droit de l’Union européenne ou en droit de l’Etat membre ;
– Les finalités du traitement doivent être nécessaire à l’exécution de la mission d’intérêt public ou de l’exercice de l’autorité publique.
Une base légale
42. Le considérant 41 apporte des éclaircissements sur la qualité de cette base légale. Il est reproduit ci-dessous :
« Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné.
Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l’homme ».
43. Il est donc nécessaire de vérifier que la base légale remplisse les critères imposés. Cette norme doit être légalement contraignante en droit interne. Elle doit remplir les conditions définies par la Cour européenne des droits de l’homme (ci-après CEDH) sur base de l’article 8 de la Convention européenne des droits de l’homme et de libertés fondamentales. Le traitement se trouvant dans le champ d’application du droit de l’Union européenne, la base légale doit également être conforme aux articles 7 et 8 du Charte des droits fondamentaux de l’Union européenne, tels qu’interprétés par la Cour de Justice de l’Union européenne. Conformément à ces jurisprudences, la norme doit être claire et précise et son application doit être prévisible pour les justiciables.
44. Il ressort des conclusions de la défenderesse que celle-ci se basait sur deux textes législatifs successifs pour l’exercice de sa mission. Le premier étant le Décret 1 et le second, le Décret 2 qui a remplacé le décret précédant depuis le 1er janvier 2019. Ces deux textes encadrent la mission d’intérêt public de la défenderesse. C’est dans le cadre de ces deux décrets qu’ont eu lieu les interactions entre le plaignant et la partie défenderesse.
45. Dans ses conclusions, la défenderesse développe particulièrement le cadre légal du décret 2, et la façon dont un arrêté royal et une circulaire réglementent son travail. Il y est notamment question de « rapport de premier contact », de « rapport d’investigation sociale » qui font partie du dossier des personnes concernées. La défenderesse détaille également la façon dont le droit d’accès à ce dossier est réglementé. Cette législation et entrée en vigueur le 1 er janvier 2019, c’est-à-dire après l’expiration du premier programme d’aide. Ce programme était donc réglementé par le Décret 1 au sujet duquel la défenderesse s’est montrée beaucoup moins loquace. Elle a cependant reproduit un article de ce décret, qui réglemente le droit d’accès au dossier.
46. Le décret 2 étant actuellement en vigueur et ce depuis le 1 er janvier 2019, il s’agit de la législation qui était applicable lors des actions litigeuses de la partie défenderesse, et notamment l’envoi du courriel du 10 janvier 2019. Pour ces raisons la Chambre contentieuse n’examinera que cette législation.
47. Pour la Chambre contentieuse, il apparait donc bien que la mission d’intérêt public dispose d’une base légale en droit national. La Chambre contentieuse va donc examiner si cette base légale remplit bien les prescrits du RGPD.
Une base légale claire, précise et prévisible
48. Conformément au considérant 41, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la CEDH.
49. La CEDH a dans plusieurs arrêts établit cette notion de prévisibilité de la base légale, notamment dans son arrêt Rotaru7. Cet arrêt ayant trait aux systèmes de surveillance de l’appareil sécuritaire d’un état, son contexte diffère quelque peu de la présente affaire. Dans d’autres affaires, la CEDH a en effet indiqué qu’elle pouvait s’inspirer de ces principes, mais elle estime que ces critères relativement stricts, établis et suivis dans le contexte spécifique de la surveillance des télécommunications ne sont pas applicables en tant que tels à toutes les affaires8.
50. La Cour de Justice explique dans son arrêt récent du 20 décembre 2020 « qu’il ressort de l’article 52, paragraphe 1, de la Charte, celle-ci admet des limitations à l’exercice de ces droits, pour autant que ces limitations soient prévues par la loi, qu’elles respectent le contenu essentiel desdits droits et que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui ».9 La Cour précise que, « pour satisfaire à l’exigence de proportionnalité, une réglementation doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus. Cette réglementation doit être légalement contraignante en droit interne et, en particulier, indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire. »10
51. Dans son arrêt Fernandez-Martinez, la CEDH a rappelé que le critère de prévisibilité de la loi consiste en ce que « la législation interne doit user de termes assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à recourir à des mesures affectant leurs droits protégés par la Convention ».11
52. Ce critère de la prévisibilité implique que certains éléments constitutifs du traitement soient inscrits dans la base légale, dont notamment la finalité traitement. Pour la Chambre contentieuse, la question centrale dans la présente affaire est de déterminer si cette base légale est prévisible en ce qui concerne sa finalité. Il s’agit en effet de l’un des griefs principaux portés par le plaignant, à savoir que le traitement de ses données s’est poursuivi à son insu et à l’encontre de la finalité initiale.
53. La base légale en question ne fait que rarement référence de manière directe aux principes du droit de la protection des données. De nombreux éléments essentiels du traitement n’en restent pas moins directement identifiables dans la législation. Un article du décret 2 par exemple définit l’administration compétente comme étant « l’administration Y1 », ce qui permet d’identifier le responsable de traitement.
54. Les finalités du traitement, bien que nombreuses, sont développées soit dans les « Les principes et droits fondamentaux » du décret, ou encore pour ce qui concerne le présent dossier, dans le Livre 3. Le décret 2 porte sur plusieurs types d’activités, ce qui constitue une mission d’intérêt public avec un champ d’action large. Il en découle nécessairement que les traitements effectués dans ce cadre peuvent être nombreux et poursuivre des finalités relativement larges. Le RGPD ne fait pas obstacle à ce type d’ancrage normatif large, puisqu’il « ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. »12
55. Par ailleurs, dans ses conclusions, la défenderesse souligne que les données traitées dans le cadre du dossier le sont pour plusieurs finalités. En effet, la défenderesse indique que « les données ont été collectées afin que le Y1 exerce ses missions à savoir non seulement mettre en œuvre des programmes d’aide mais aussi tenir les documents relatifs à cette aide à disposition, en premier lieu, des enfants concernés. »13. La Chambre contentieuse comprend de cette formulation que la défenderesse se réfère aux mesures prévues au Livre 3 du Décret 2. La défenderesse ajoute par la suite que « la collecte et le traitement des données dans le programme d’information des services enclenche certains mécanismes, notamment comptables. Les données collectées deviennent alors des justificatifs de paiement, auxquels la Cour des comptes doit avoir égard dans l’exercice de ses missions »14.
56. Il apparaît donc que le traitement poursuit plusieurs finalités distinctes. La première et principale finalité porte sur la mise en œuvre de programmes d’aides, qui constitue une des missions de la défenderesse qui lui est attribuée par décret. Une seconde finalité qui découle directement de celle-ci, est de tenir les documents relatifs à cette aide à la disposition des enfants concernés. Enfin, une troisième finalité porte sur le traitement des données dans un but comptable ou dans un but d’archivage.
57. La Chambre contentieuse rappelle qu’en vertu des pièces présentées à sa connaissance (voir point 30), le premier programme d’aide s’est achevé en septembre 2018 et que le traitement des données du plaignant s’est poursuivi après cette date. La partie défenderesse dit se baser sur l’existence, dont elle ne peut apporter la preuve, d’un second programme d’aide pour justifier de la poursuite de ce traitement.
58. Or, il apparaît que la défenderesse a poursuivi le traitement des données personnelles contenues dans le dossier, notamment par une rencontre avec le plaignant qui a donné lieu à la transmission par email de certaines données personnelles le concernant à la mère de l’enfant, au-delà de la clôture du premier programme d’aide, le 15 septembre 2018 (voir point 4). Cette poursuite du traitement ne peut pas s’expliquer par la réalisation des deux finalités que sont la tenue des documents à la disposition des enfants concernés ou le traitement dans un but comptable ou d’archivage, puisque les actions réalisées semblent être sans lien avec celles-ci.
59. La Chambre contentieuse précise qu’elle n’est pas compétente pour exercer un contrôle de la légalité au sens large des actions de la défenderesse. Dans le cas présent, elle ignore si la défenderesse était légalement habilitée, du point de vue du droit de son domaine d’action, à poursuivre sa mission après l’expiration de cet accord, ou en l’absence de conclusion d’un nouvel accord.
60. Force est néanmoins de constater que le traitement qui s’est poursuivi après la finalisation du premier programme, l’a été sous l’empire du décret 2, sans qu’il puisse pour autant entrer dans une des trois finalités identifiées. Il en découle que la base légale que constitue le décret 2 ne peut pas être caractérisée de « prévisible » puisqu’elle ne permet pas à la personne concernée, à la lecture de celle-ci, de connaître toutes les circonstances et conditions sous lesquelles la partie défenderesse est habilitée à traiter ses données.
61. En raison de cette absence de prévisibilité, la base légale ne peut être considérée comme une base de licéité valable au sens de l’article 6.3 du RGPD. La partie défenderesse ne peut donc se baser sur l’article 6.1.e pour justifier le traitement et celui-ci est par conséquent illicite. Sur base de ces éléments, la Chambre contentieuse constate une violation des articles 6.1.e) juncto 6.3.
62. Par ailleurs, la défenderesse ayant communiqué aussi bien dans ses conclusions que lors de l’audition que le dossier avait été classé sans suite, la Chambre contentieuse considère que les données qu’il contient ne peuvent plus être traitées en rapport avec la finalité principale.
Leur traitement est limité à la tenue des documents relatifs à cette aide à la disposition des enfants concernés ou le traitement dans un but comptable ou d’archivage. En d’autres termes, le traitement de données est, depuis la date du classement sans suite du dossier du plaignant par la défenderesse, strictement limité à la réalisation de ces deux dernières finalités.
3) Les obligations de transparence et d’information
63. Le plaignant invoque des manquements aux principes d’information et de transparence à plusieurs égards. Sur base des articles 5,1a et 13,1,e), il soulève une violation du principe de transparence du fait qu’il ignorait que des informations contenues dans le dossier du Y1 seraient transmises à la mère de l’enfant et son avocat (point a). Sans faire référence à des articles spécifiques du RGPD, le plaignant a souligné à plusieurs reprises qu’il pensait que le dossier auprès du Y1 était clôturé et qu’il n’y avait plus de traitement de données en cours (point b). Le plaignant estime également ne pas avoir été informé de l’identité du responsable de traitement et quant aux éléments contenus dans l’article 13.2 (point c).
64. Dans ses conclusions, la défenderesse relate en détail les dispositions légales organisant le droit d’accès des personnes concernées à leur dossier dans le cadre de son intervention. Ce droit d’accès est prévu dans le Décret 1 et dans le Décret 2. Elle indique également ne pas contester le fait de ne pas avoir donné d’information suffisamment claire quant à l’identité du responsable de traitement et du Délégué à la protection des données. Elle développe longuement au point 3.4 de ses conclusions, les mesures qui ont été mises en place depuis 2017 afin de se doter d’une politique du numérique et de se mettre en conformité avec le RGPD.
a) La transmission d’informations à la mère de l’enfant ou à son avocat
65. Dans ses conclusions en réplique, le plaignant estime qu’il n’a pas été correctement informé du fait que de nombreuses informations et données personnelles le concernant seraient transmises à la mère de l’enfant, qui les auraient ensuite utilisées dans ses conclusions devant le tribunal de la famille. La défenderesse considère quant à elle que ses données ont été collectées par la mère de l’enfant lors de l’exercice de son droit d’accès, qui est prévu, tant dans le décret 1 que dans le décret 2 .
66. Pour la Chambre contentieuse, l’existence d’un droit d’accès aux pièces du dossier est claire.
Ce droit d’accès est prévu et régulé de manière explicite dans les deux décrets susmentionnés.
Même si cela n’est pas évoqué par la partie défenderesse, ce droit d’accès existe également en vertu de l’article 15 du RGPD. La question examinée ici porte cependant sur l’information et la transparence au sujet de ce droit d’accès vis-à-vis du plaignant.
67. La Chambre contentieuse constate que le texte du premier programme d’aide mentionne spécifiquement que « les personnes associées aux mesures prises ont été informées de leurs droits et obligations notamment sur les droits que leur reconnaissent les articles dudit décret et l’article 1034ter du code judiciaire ». L’article mentionné contient un premier alinéa rédigé comme suit :
68. Un troisième aliéna règle les modalités et le coût d’obtention d’une copie du dossier.
69. La mention de cet article étant explicite dans le texte du premier programme d’aide, la Chambre contentieuse estime que la défenderesse a rempli ses obligations d’information à cet égard et que le plaignant était correctement informé de l’existence de ce droit.
b) Le fait que le traitement soit encore en cours
70. Sans pour autant rattacher cela à une violation précise du RGPD, le plaignant critique le fait qu’il n’avait pas été informé du fait que le traitement de ses données était encore en cours après la clôture du premier programme d’aide en septembre 2018. Etant donné que la mission d’intérêt public de la défenderesse implique un traitement de données personnelles, la Chambre contentieuse estime qu’il s’agit là d’une question qui peut être examinée sous l’angle de la transparence et du droit de la personne concernée à l’information.
71. Cette question est fortement liée à celle qui a été développée ci-dessus au sujet de la prévisibilité de la base légale (voir points 48 et s.). N’ayant cependant aucune information démontrant que le plaignant aurait ou n’aurait pas été clairement informé des différentes étapes du traitement, elle ne peut se prononcer quant à une violation des obligations de transparence et d’information à cet égard.
72. La Chambre contentieuse s’interroge cependant sur le fait qu’une des parties concernées par un programme d’aide de la défenderesse puisse être à ce point surprise par les actions de la défenderesse et considérer qu’il n’a pas été correctement informé du fait que le dossier était encore ouvert. Par ailleurs, sans qu’elle ne dispose d’informations lui permettant de savoir si cela a été effectué ou non, la Chambre contentieuse considère que l’entrée en vigueur d’une nouvelle législation régissant la mission d’intérêt public de la défenderesse au cours du traitement de données litigieux entraine une obligation d’en informer le plaignant.
c) L’information quant à l’identité du responsable de traitement et du délégué à la protection des données.
73. Le fait que le plaignant n’ait pas été informé clairement de l’identité du responsable de traitement et du délégué à la protection des données n’est pas contesté par la défenderesse 15.
La Chambre contentieuse constate donc une violation des articles 13.1.a et b) sur ce point.
4) La sécurité et la confidentialité des données traitées par la défenderesse.
74. La question de la sécurité et de la confidentialité des données est également soulevée par le plaignant, qui considère qu’il y a eu violation des articles 5.1.a) et 25 du RGPD.
75. En essence, le plaignant considère qu’il y a eu une violation des obligations de confidentialité et de sécurité parce que ses données personnelles ont été transmises à son insu à la mère de l’enfant et son avocat et qu’il n’a découvert ceci qu’à la lecture des conclusions au le tribunal de la famille. Il ajoute par ailleurs que le Y1 n’a pas pris les précautions nécessaires prévues à l’article 25.2 du RGPD puisque ces mêmes personnes ont pu avoir accès à ses données personnelles sans son intervention. De même, il considère que les mesures mises en place par la défenderesse sont insuffisantes puisqu’in casu, elles n’ont pas empêché l’utilisation des données personnelles dans le cadre d’une autre procédure judiciaire, alors que cela est contraire à sa politique de confidentialité. Ces allégations portent sur différentes données personnelles du plaignant contenues dans le dossier de la défenderesse, telles que les données contenues dans l’email du 10 janvier 2019, le texte de l’accord relatif au premier programme d’aide, ainsi que d’autres données personnelles qui ont été reprises dans les conclusions auprès du tribunal de la famille.
76. La partie défenderesse ne répond pas spécifiquement aux griefs concernant l’article 25 dans ses conclusions en dépit du fait que le plaignant ait mentionné cet article spécifiquement. La sécurité et confidentialité des données a cependant fait l’objet d’une intervention de la partie défenderesse lors de l’audition durant laquelle elle expliquait les mesures mises en place pour garantir la confidentialité du dossier (voir point 26). Elle a notamment indiqué que toutes les feuilles étaient estampillées d’une clause de confidentialité et que cette confidentialité étaient rappelée fréquemment aux personnes impliquées et ce dès la début de la procédure.
77. L’article 25 du RGPD dont il est question est reproduit ci-dessous :
« Article 25
Protection des données dès la conception et protection des données par défaut
1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article. »
78. Comme elle l’a déjà établi préalablement, pour la Chambre contentieuse, l’existence d’un droit d’accès du plaignant, de la mère de l’enfant et de l’enfant au dossier traité par la défenderesse ne fait aucun doute. La mère de l’enfant était donc en droit de consulter ce dossier et même d’en obtenir une copie, selon les dispositions contenues dans les deux décrets cités précédemment et selon l’article 15.3 du RGPD. Par ailleurs, certaines pièces du dossier, de par leur essence, devaient être envoyées au plaignant et à la mère de l’enfant. C’est le cas notamment de l’accord sur le premier programme d’aide (voir point 30).
79. Cependant, comme l’a rappelé la partie défenderesse, ces données sont considérées comme étant confidentielles et ne peuvent être utilisées dans d’autres procédures. Tant le plaignant que la partie défenderesse s’accordent pour dire que la mère de l’enfant a utilisé ses données d’une manière qui serait irrégulière, étant donné qu’elle les a utilisées dans ses conclusions devant le tribunal de la famille. Comme elle l’a déjà évoqué, la Chambre contentieuse n’est pas amenée à s’exprimer sur la régularité ou non du traitement de données opéré par la mère de l’enfant (voir point 34). Néanmoins, la Chambre peut se pencher sur la question de savoir si la partie défenderesse a, en tant que responsable de traitement, mis en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer le respect des droits des personnes concernées ou visant à limiter l’accessibilité des données personnelles (article 25.2 du RGPD).
80. Comme elle l’a établi dans sa décision 74/2020 du 24 novembre 2020, « l’objectif de la protection des données dès la conception […] est de protéger les droits des personnes concernées et d’assurer que la protection de leurs données à caractère personnel soit propre (‘intégrée’) au traitement. Ce qui importe à cet égard, c’est que les ‘mesures appropriées’ qu’un responsable du traitement doit prendre visent à ce que les principes en matière de protection des données soient intégrés de manière effective afin que les risques de violation des droits et libertés des personnes concernées soient limités. »16
81. Pour l’examen de ses griefs, la Chambre contentieuse souhaite faire une distinction entre les données personnelles contenues dans l’email du 10 janvier 2019 (point a), celles contenues dans le texte de l’accord d’aide (point b) et celles contenues dans les conclusions pour le tribunal de la famille (point c). Elle se penchera finalement sur une possible limitation du droit d’accès pour sauvegarder les droits du plaignant (point d).
a) Les données personnelles contenues dans l’email du 10 janvier 2019
82. Les informations contenues dans l’email du 10 janvier constituent incontestablement des données personnelles relatives au plaignant. Ses données font partie du dossier traité par le Y1. Comme établi dans la section 3 ci-dessus, la mère de l’enfant, en tant que partie impliquée dans la procédure auprès du Y1, dispose d’un droit d’accès au dossier.
83. La Commission de déontologie a rendu un avis sur cette question 17. Elle indique notamment « qu’un message transmettant à un parent, sans autre forme de contextualisation ou de nuance, des informations relatives à l’attitude de l’autre parent, suite à un entretien avec la déléguée, n’est pas nécessairement de nature à favoriser l’épanouissement des bénéficiaires de l’aide ou prévenir leur perturbation » ce qui est un devoir selon l’article 7.3 du Code de déontologie.
84. Par ailleurs, la Commission de déontologie considère que le message en question « trahit un manque de prudence en ne rappelant pas à la destinataire du message le caractère confidentiel de l’information communiquée et l’interdiction de l’invoquer dans une procédure distincte de celle relative à la mesure d’aide qui fait l’objet du dossier ».
85. L’avocate de la partie défenderesse a concédé qu’il y avait éventuellement un problème de déontologie dans l’envoi de l’email. Il aurait peut-être dû être mieux circonstancié et faire un rappel de l’obligation de confidentialité. Pour l’avocate il s’agit donc d’un problème de déontologie dans la communication, mais pas d’un problème vis-à-vis du RGPD. Lors de l’audition, la déléguée à la protection des données de la défenderesse a évoqué un « couac » concernant cet email.
86. S’il n’est pas contesté que ces données personnelles faisaient partie du dossier, auquel la mère de l’enfant avait accès, ceci n’implique pas pour autant qu’elles doivent lui être transmises automatiquement à l’insu de la personne concernée. Le fait que cette transmission par un agent du responsable soit faite sans rappel des règles de confidentialité, alors qu’il s’agit selon la partie défenderesse d’une règle habituelle, porte atteinte aux droits de la personne concernée.
87. Pour les raisons évoquées ci-dessus, la Chambre contentieuse estime que la transmission des données personnelles du plaignant, par email, à l’initiative de la partie défenderesse et sans rappel des règles de confidentialité porte atteinte au principe de confidentialité. La Chambre contentieuse constate que cette erreur a été reconnue par la défenderesse lors de l’audition.
88. De plus, la Chambre contentieuse constate qu’à cette occasion, la défenderesse a transféré d’initiative à la mère de l’enfant, des données personnelles concernant le plaignant, ce qui ne peut par définition, ne peut être compris comme un exercice du droit d’accès, qui doit être exercé à l’initiative de la personne concernée. Dans l’hypothèse où cette information aurait été fournie à la mère de l’enfant dans un but de transparence, rien ne justifie que cette même transparence n’ait pas été appliquée au plaignant, qui n’a pas reçu copie de l’email et n’était pas informé de son envoi. Le fait qu’un email, tel que celui qui est examiné, qui informe la mère de l’enfant, à l’insu du plaignant, du contenu d’une conversation que la défenderesse a eu avec ce dernier pose un problème évident de confidentialité des données.
89. Pour les raisons évoquées ci-dessus, la Chambre contentieuse conclut que la partie défenderesse a violé l’article 25, §1 et 2, en ne respectant pas les mesure techniques et organisationnelles qu’elle avait elle-même mis en place pour assurer le respect des droits des personnes concernées ou celles visant à limiter l’accessibilité des données personnelles.
b) Les données personnelles contenues dans le texte de l’accord relatif au premier programme d’aide de septembre 2017 à septembre 2018
90. Au sujet du texte du premier programme d’aide qui a déjà fait l’objet d’une description antérieurement (voir point 30), la Chambre constate que celui-ci contient bien une clause de confidentialité qui rappelle les possibilités d’accès au dossier, en précisant que celui-ci « ne peut être utilisé dans aucune autre procédure que celle relative à la mesure d’aide qui fait l’objet du dossier dont il est tiré ». Cette clause semble présente sur chaque feuille, conformément à ce qui a été expliqué par la défenderesse lors de l’audition.
91. Une copie de ce document a été fourni par le plaignant à l’APD lors du dépôt de sa plainte.
Celui-ci ne peut donc raisonnablement soutenir qu’il ignorait que ses informations seraient transmises à la mère de l’enfant, puisqu’elle est elle-même partie à l’accord. Il est parfaitement logique qu’elle ait donc reçu une copie de ce document pour signature. La Chambre contentieuse ne constate donc aucun manquement au principe de confidentialité sur ce point.
c) Les autres données provenant du dossier du Y1 mentionnées dans les extraits de conclusions de synthèse de la mère de l’enfant
92. Le plaignant conteste également la transmission d’informations complémentaires provenant du dossier du Y1 et qui ont été utilisées dans les conclusions de synthèse de la mère de l’enfant devant le tribunal de la Famille. Les extraits de ce document que le plaignant a porté à l’examen de la Chambre contentieuse sont fragmentaires. Plusieurs phrases semblent cependant se référer au plaignant. Une phrase complète mentionnant le plaignant est lisible dans sa totalité. Il est fait de nombreuse fois référence aux constats ou commentaire de la partie défenderesse. Un document intitulé « bilan Y1 du 28 septembre 2017 » est repris à l’inventaire des pièces.
93. Une note de bas de page de l’extrait de conclusions de synthèse devant le tribunal de la famille précise que les éléments contenus dans les conclusions proviennent du dossier du Y1. Elle est rédigée comme suit :
« Les éléments décrits dans les présentes ressortent du dossier Y1 (qui ne peut pas être produit mais dont le résumé peut être repris dans les conclusions) consultable en leurs bureaux et qui n’est pas confidentiel comme Mr X le prétend, celui-ci aurait pu également y avoir accès s’il en avait fait la demande, le parquet pourra également prendre connaissance du dossier en vue de l’audience de plaidoiries ; »
94. Comme cela a déjà été indiqué à plusieurs reprises, le droit d’accès des parties au dossier est clairement établi dans la législation pertinente, ainsi que dans le RGPD. Il est donc normal que les parties, y compris la mère de l’enfant aient eu accès au dossier. Toutes ces législations prévoient également un droit à une copie du dossier, ce qui est conforme au RGPD (voir point 68). La Chambre contentieuse ne peut donc constater de violation spécifique de l’article 25 à cet égard.
d) Une possible limitation du droit d’accès
95. La Chambre contentieuse souhaite cependant apporter quelques considérations sur ce point.
Sur base du dossier, elle estime que le risque d’une réutilisation des données dans une autre procédure que celle devant la défenderesse, est avéré et ce en dépit des clauses de confidentialité. Ce risque est d’autant plus grand si la demande d’accès au dossier est le fait d’un des parents, alors que le couple est en instance de divorce. Dans le présent dossier, les mesures mises en place ont été insuffisantes puisque selon les deux parties, la confidentialité a été effectivement été rompue par la mère de l’enfant. C’est d’ailleurs pour cette raison que le plaignant a sollicité de la défenderesse l’effacement de ses données (voir points 5 et 104).
Afin de donner suite à la demande du plaignant, la Chambre contentieuse considère que la défenderesse devrait considérer des mesures supplémentaires qui viseraient à faire respecter la clause de confidentialité et à diminuer les risques de violation de cette clause.
96. Elle rappelle notamment que l’article 15.4 du RGPD prévoit que « Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui ». La défenderesse est donc en mesure de refuser de fournir une copie de pièces du dossier si elle estime que le risque de réutilisation irrégulière de ses pièces est trop important ou si une des parties à déjà fait un usage des pièces qui est contraire à la clause de confidentialité.
97. D’autre part, en lien avec la délimitation des finalités du traitement (voir point 54 et s.) et la transparence quant au fait de savoir si le traitement est toujours en cours ou non (voir point 70 et s.), la Chambre contentieuse considère que les modalités précises de consultation devraient pouvoir être adaptées en fonction du statut précis du dossier, selon que celui-ci soit considéré comme étant ouvert ou classé sans suite.
98. La Chambre contentieuse est d’opinion que le droit d’accès de la mère de l’enfant à ses données personnelles contenues dans le dossier doit être mis en balance avec le droit à la protection des données personnelles du plaignant et notamment son droit à la confidentialité de ses données. Les données de ces deux personnes concernées étant indissociablement mêlées, il est en pratique difficilement possible d’accorder à la première le bénéfice de son droit d’accès sans empiéter sur les droits du second et notamment le droit à la confidentialité de ses données.
99. En conséquence, la Chambre contentieuse décide qu’au vu notamment de l’atteinte à la confidentialité des données du plaignant déjà constatée (voir point 89), il y a lieu de donner priorité au respect de ses droits par rapport au droit d’accès de la mère de l’enfant et dès lors de limiter ce dernier.
100. La Chambre contentieuse note néanmoins que dans ses conclusions, la partie défenderesse fait référence à la réforme du droit d’accès qui a été entreprise dans le cadre du décret 2 .
Elle cite l’exposé des motifs du décret qui explicite les considérations qui ont mené à une réforme du droit d’accès au dossier dans le décret 2 et fait état des demandes de nombreuses institutions de renforcer ce droit à l’information et à l’accès au dossier.
101. Afin de prendre en compte ces éléments et au vu de la sensibilité de la matière, la Chambre contentieuse n’estime pas judicieux d’imposer unilatéralement à la défenderesse une limitation du droit d’accès de la mère de l’enfant. Elle demande donc à la défenderesse de l’informer de la faisabilité d’imposer une telle limitation. Celle-ci consisterait, tant que le dossier est classé sans suite, à une limitation du droit d’accès du dossier au seul enfant concerné, et ce afin de préserver les droits du plaignant, et le respect de la confidentialité de ses données à caractère personnel.
102. Par ailleurs, comme elle l’a conclu précédemment, la Chambre contentieuse rappelle que le dossier ayant été classé sans suite, il ne peut qu’être traité pour les finalités restantes, à savoir la consultation par l’enfant de son dossier et la conservation dans un but comptable ou d’archivage.
5) La demande d’effacement (article 17 du RGPD)
a) Le droit à l’effacement Décision 55/2021 – 26/34
103. Comme évoqué précédemment, la demande d’effacement du plaignant porte sur toutes les données personnelles du plaignant, ainsi que de celles de son fils, qui seraient contenues dans les bases de données et autres archives du Y1. Elle se base sur l’article 17 du RGPD qui est partiellement reproduit ci-dessous :
« Article 17 – Droit à l’effacement («droit à l’oubli»)
1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:
a) à l’exercice du droit à la liberté d’expression et d’information;
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
[…] »
104. Le plaignant sollicite en premier lieu cette demande d’effacement, en raison de la faute déontologique qui a selon lui été commise 18.
105. En réponse à cette plainte, la partie défenderesse estime dans ses conclusions ne pas pouvoir faire droit à la demande d’effacement du plaignant puisque ses données sont nécessaires pour respecter une obligation légale ou exécuter une mission d’intérêt public, comme le prévoit l’article 17.3.b).
106. En effet, la partie défenderesse souligne que les données ont été collectées par le Y1 dans le but d’exercer ses missions. Dans l’intérêt des enfants, ces documents doivent être conservés afin de pouvoir retracer le parcours du dossier au sein des services. Supprimer ces données reviendrait à empêcher la partie défenderesse d’exercer ses missions et priverait certains enfants devenus majeurs de leur droit à un accès aux documents les concernant.
107. La partie défenderesse cite à ce titre un article du Décret 2 qui est reproduit ci-dessous :
108. Selon la partie défenderesse, cette conservation des données est parfois la seule manière pour certains enfants de comprendre leur parcours de vie et d’avoir accès à des informations concernant leur enfance. Elle ajoute que cet accès au dossier doit être possible « à tout moment » en ce compris après la clôture des dossiers et les prises en charge réalisées en exécution du Code.
109. Par ailleurs, la partie défenderesse, ajoute que le plaignant ne dispose pas seul de l’autorité parentale sur son fils et que la demande devrait donc en principe émaner des deux parents qui disposent ensemble de l’autorité parentale. Elle ajoute que le traitement des données contenues dans le dossier est également nécessaire pour les deux autres finalités (comptable et archivage. Voir points 54 et s).
110. Dans ses conclusions en réponse, le plaignant indique qu’il effectue sa demande d’effacement pour les raisons suivantes :
– Les données ne sont plus nécessaires étant donné que le premier programme d’aide est clôturé (article 17.1.a) du RGPD), – Il retire son consentement sur lequel il estime que le traitement est fondé (article 17.1.b) du RGPD), – Les données ont fait l’objet d’un traitement illicite étant donné la violation évidente de confidentialité dont elles auraient fait l’objet (article 17.1.d) du RGPD).
111. Il souligne également que le consentement des deux parents disposant de l’autorité parentale est nécessaire pour traiter les données de son fils. Le retrait du consentement d’un parent, entraîne par conséquent une absence de consentement valable pour le traitement.
112. Il ajoute que le Y1 n’a fourni aucune aide effective, et que son intervention s’est limitée à la notification d’un accord relatif du premier programme d’aide du 18 septembre 2017 et qu’il n’y a eu aucune action concrète de la part de la partie défenderesse. Il s’interroge donc sur l’intérêt qu’aurait son fils à consulter ses archives dans le futur, étant donné qu’il n’a jamais été en contact avec la partie défenderesse. Il conclut que rien n’empêche la partie défenderesse d’anonymiser les données si elle souhaite les conserver à des fins statistiques.
113. Dans ses conclusions en réplique, la partie défenderesse répond au plaignant en signalant que le bénéficiaire du droit à la consultation est l’enfant lui-même et que la décision de consulter ou non les archives lui revient. Le fait que le plaignant estime peu probable que son fils consulte un jour les archives ne peut, selon la défenderesse, justifier un effacement des données.
114. Pour la Chambre contentieuse, il s’agit donc d’examiner deux questions différentes. La première question consiste à savoir si le plaignant peut à lui seul demander l’effacement des données à caractère personnel de son fils. La seconde concerne l’applicabilité de l’article 17.3.b) dans les circonstances présentes, tel que l’invoque la partie défenderesse. En effet, cet article précise que « les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:
[…]
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; »
L’application de l’article 17.3.b entraîne l’impossibilité pour le plaignant d’invoquer les articles 17.1 a, b et d).
115. La première question porte sur l’exercice du droit à l’effacement des données du fils par son père (le plaignant). La défenderesse invoque à cet égard que, n’étant pas le seul détenteur de l’autorité parentale sur son fils, le plaignant ne peut, seul, exercer le droit à l’effacement pour ses données à caractère personnel. Le consentement des deux parents titulaires conjoints de l’autorité parentale, serait nécessaire pour l’exercice de ce droit. Le plaignant avance que le consentement des deux parents est nécessaire au traitement des données personnelles concernant son fils. Le retrait du consentement d’un des parents rend donc ce consentement caduc. Ce retrait de consentement permet donc l’exercice du droit à l’effacement sur base de l’article 17.1.b.
116. Pour la Chambre contentieuse, la question du consentement comme base de licéité et, par conséquent, d’exercice du droit à l’effacement sur base de l’article 17.1.b doit être distinguée de la question de l’exercice valable, par un parent, du droit à l’effacement des données d’un enfant.
117. Dans le cas présent, comme cela a été développé préalablement, le traitement de données effectué par la défenderesse ne se base pas sur le consentement de la personne concernée, mais bien sur l’article 6.1.e) (voir point 38). La Chambre contentieuse examinera donc uniquement la question de l’exercice valable, par un parent, du droit à l’effacement pour le compte d’un enfant.
118. Cette question est d’une importance notable dans le cas du droit à l’effacement. En effet, à la différence des autres droits prévus aux articles 15 à 22, le droit à l’effacement s’épuise par son exercice. Il entraine également l’impossibilité par la suite d’exercer les autres droits prévus aux articles 15 à 22, puisque ceux-ci requièrent le traitement de données personnelles, qui auront été effacées par l’exercice du droit prévu à l’article 17. Le droit à l’effacement est, de par son essence même, à usage unique et définitif. Ces deux caractéristiques imposent donc de faire preuve d’une certaine vigilance lorsqu’une personne détentrice de l’autorité parentale prétend exercer ce droit pour le compte d’un mineur.
119. Au vu de ces caractéristiques, la Chambre contentieuse considère que l’exercice du droit à l’effacement des données d’un mineur appartient en premier lieu au mineur lui-même, en tant que personne concernée19. Si cette personne concernée mineure ne dispose pas du discernement suffisant pour exercer ce droit, celui-ci peut être exercé par les détenteurs de l’autorité parentale. Cet exercice doit se faire dans le respect des règles relatives à l’autorité parentale et exclusivement dans l’intérêt de l’enfant.
120. La Chambre contentieuse constate dans le cas présent, que la demande d’effacement n’est pas exercée par l’enfant, mais bien par son père. Il ressort des pièces du dossier que le père exerce cette demande seul, c’est-à-dire sans l’approbation de la mère de l’enfant, qui semble être titulaire conjointe de l’autorité parentale. Le plaignant ne justifie pas non plus en quoi cet effacement des données serait dans l’intérêt de son fils. Il n’apparaît pas que les conditions d’exercice du droit d’effacement par un des parents, pour le compte de l’enfant, sont réunies en l’espèce.
121. Etant donné que la demande du plaignant, portait non seulement sur les données de son fils, mais également sur ses données personnelles propres, cette demande doit être examinée plus en détails sur ce dernier point. Dans cette optique, la Chambre contentieuse doit examiner l’applicabilité de l’exception prévue à l’article 17.3 au cas d’espèce.
122. Comme elle l’a déjà, développé préalablement (voir point 38), pour la Chambre contentieuse, la défenderesse exerce une mission d’intérêt public. La constitution d’un dossier contenant des informations personnelles sur les parties impliquées (les parents et l’enfant) constitue un traitement de données en lien direct avec cette mission d’intérêt public au sens de l’article 17.3.b. L’effacement de ses données constituerait une atteinte claire à l’exercice de la mission d’intérêt public de la défenderesse, puisqu’ elle ne lui permettrait plus de disposer d’antécédents sur la situation des familles qui ont fait l’objet d’un suivi par ce service. Ces antécédents sont indispensables pour que la défenderesse puisse avoir une image correcte de la situation familiale des personnes dont elle s’occupe. De manière générale, il n’est pas exclu que la défenderesse soit ressaisie d’une même situation familiale plusieurs années après une première intervention. L’effacement des données d’une personne concernée lors de la première intervention porterait grandement atteinte aux capacités du Y1 d’exercer sa mission d’intérêt public de manière correcte.
123. Il en découle, qu’en raison de l’application de l’article 17.3.b, le plaignant ne peut invoquer un motif prévu à l’article 17.1 ou 17.2 pour demander l’effacement des données le concernant.
b) Le délai de réponse de la part du responsable de traitement
124. Le plaignant considère également que le responsable de traitement n’a répondu à sa demande d’effacement qu’après un délai de 6 mois et l’envoi d’un email (le 9 mai 2019) et de deux courriers d’avocats (dont le premier envoyé le 14 juin 2019), ce qui serait contraire à l’article 12.3 du RGPD qui établit un délai maximal d’un mois.
125. La partie défenderesse argumente quant à elle que la Commission de déontologie est une commission indépendante qui a pour mission de rendre des avis en matière déontologique dans ce secteur. Etant donné que la demande d’effacement n’a, selon la défenderesse, pas été formulée auprès de la personne adéquate, elle n’a pas été en mesure de lui réserver une suite utile.
126. La Chambre contentieuse constate que les deux demandes d’effacement envoyées par courrier ont été dirigées vers la Commission de déontologie20. Celle-ci a répondu aux avocats du plaignant le 5 juillet 2019, en déclarant ne pas s’estimer compétente pour répondre à la demande du plaignant et n’être pas compétente pour la demande d’effacement (voir point 6 et note 2).
127. La Chambre contentieuse estime il ne peut être attendu d’une personne concernée qu’elle se dirige systématiquement vers la personne désignée au sein d’une institution pour exercer ses droits. Ceci n’exclut cependant pas qu’elle doive se diriger vers l’institution qui est bien la responsable du traitement.
128. La Chambre considère que cette condition n’est pas nécessairement remplie in casu, puisque que le plaignant s’est dirigé vers une Commission de déontologie qui n’était vraisemblablement pas responsable du traitement et qui a indiqué le 5 juillet, c’est-à-dire dans un délai inférieur à un mois après la première lettre, ne pas être compétente pour examiner la demande d’effacement du plaignant.
La Chambre contentieuse ne peut donc constater de violation de l’article 12.4 sur ce point.
129. La Chambre contentieuse note cependant que l’envoi de deux emails différents, respectivement au plaignant et à ses avocats, dont le second contenait une réponse quant à la demande d’effacement mais pas le premier, n’est certainement pas de nature à faciliter la compréhension par le plaignant du suivi qui est apporté à son dossier.
130. La Chambre contentieuse estime par ailleurs, que les manquements au devoir d’information et de transparence constatés au point 73 de cette décision ont pu largement contribuer au fait que le plaignant ce soit dirigé vers la mauvaise institution. Une information correcte au sujet de l’identité du responsable de traitement et du délégué à la protection des données aurait sans doute facilité l’exercice par le plaignant de ses droits.
6) Quant aux mesures correctrices et aux sanctions
131. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de:
1° classer la plainte sans suite;
2° ordonner le non-lieu;
3° prononcer une suspension du prononcé;
4° proposer une transaction;
5° formuler des avertissements ou des réprimandes;
6° ordonner de se conformer aux demandes de la personne concernée d’exercer ces droits;
7° ordonner que l’intéressé soit informé du problème de sécurité;
8° ordonner le gel, la limitation ou l’interdiction temporaire ou définitive du traitement;
9° ordonner une mise en conformité du traitement;
10° ordonner la rectification, la restriction ou l’effacement des données et la notification de celles-
ci aux récipiendaires des données;
11° ordonner le retrait de l’agréation des organismes de certification;
12° donner des astreintes;
13° donner des amendes administratives;
14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l’informe des suites données au dossier;
16° décider au cas par cas de publier ses décisions sur le site internet de l’Autorité de protection des données.
132. La Chambre contentieuse rappelle qu’en vertu de l’article 221.2° de la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, elle ne peut imposer d’amende à la défenderesse, puisque celle-ci est une autorité publique au sens de l’article 5.1° de cette même loi.
133. Sur base des éléments développés ci-dessus, la Chambre contentieuse a constaté une violation des articles 6.1.e) juncto 6.3, 13.1.a et b), ainsi que des articles 25.1 et 25.2 du RGPD.
134. Pour ce qui concerne la violation des articles 6.1.e) juncto 6.3, la Chambre contentieuse est consciente du fait que la partie défenderesse est dans l’obligation de poursuivre ces missions légales dans son domaine d’action. Elle considère que la partie défenderesse ne peut être tenue pour responsable des lacunes de la base légale qui lui impose ou l’investit de certaines missions. Dans l’objectif de ne pas perturber de manière disproportionnée la poursuite d’une mission de service publique essentielle, la Chambre contentieuse décide de ne pas ordonner la suspension ou l’interruption du traitement, comme le lui permet l’article 100,§1, 8° de la LCA.
135. Elle considère néanmoins qu’une mise en conformité de la base de licéité est indispensable afin qu’elle réponde notamment aux critères de prévisibilité développés ci-dessus (voir points 48 et s.). Pour cette raison, l’Autorité de protection des données prendra contact à cette fin avec le législateur et/ou le gouvernement de l’entité fédérée.
136. Les violations des articles 13.1.a et b) ont été reconnues de manière évidente par la partie défenderesse. La Chambre contentieuse n’est pas en mesure de déterminer si cette violation ne concernait que le plaignant ou si elle concernait l’ensemble des personnes concernées à l’égard de qui ces articles devaient être respectés.
137. La Chambre contentieuse a également constaté une violation claire des articles 25.1 et 25.2 du RGPD. Elle constate cependant que la partie défenderesse a reconnu que le traitement n’avait pas fait l’objet des mesures techniques et organisationnelles nécessaires. Selon la partie défenderesse, ce problème a été reconnu comme tel et les mesures nécessaires ont été prises.
138. En conclusion de ce qui précède, et au vu de toutes les circonstances de l’espèce la Chambre Contentieuse estime que la réprimande (soit le rappel à l’ordre visé à l’article 58.2.b) du RGPD) est en l’espèce, la sanction effective, proportionnée et dissuasive qui s’impose à l’égard de la défenderesse21.
139. En suivi de ce qu’elle a expliqué préalablement (voir points 95 et s.), elle demande également à la défenderesse de lui faire part de la faisabilité d’imposer, tant que le dossier du plaignant est classé sans suite auprès de la défenderesse, d’une limitation du droit d’accès du dossier au seul enfant concerné, et ce afin de préserver les droits du plaignant, et le respect de la confidentialité de ses données à caractère personnel.
7) Publication de la décision
140. Compte tenu de l’importance de la transparence en ce qui concerne le processus décisionnel et les décisions de la Chambre Contentieuse, cette décision sera publiée sur le site Internet de l’Autorité de protection des données moyennant la suppression des données d’identification directe des parties et des personnes citées, qu’elles soient physiques ou morales.
POUR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération de :
– prononcer à l’encontre de la défenderesse une réprimande sur la base de l’article 100.1, 5° LCA, pour violations des articles 13.1.a et b), ainsi que des articles 25.1 et 25.2 du RGPD;
– classer sans suite la plainte pour les autres aspects sur la base de l’article 100.1, 1° LCA.
En vertu de l’article 108 § 1 LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés (Cour d’appel de Bruxelles) dans un délai de 30 jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(Sé) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20210422.1

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==